Check Point Forscher haben 16 bösartige Pakete auf JavaScript NPM erkannt. Sie tarnten sich als Internet-Geschwindigkeitstester, entpuppten sich aber als Krypto-Miner.

Check Point researchers detected 16 malicious packages on JavaScript NPM. They disguised themselves as Internet speed testers, but turned out to be crypto-miners.

Die Sicherheitsforscher von Check Point Software Technologies Ltd. entdeckten 16 bösartige Software-Pakete auf NPM, dem führenden Verzeichnis für JavaScript-Pakete. Diese ermöglichten Cryptojacking, eine bösartige Form des Cryptominings. Dabei werden fremde Rechenkapazitäten zum Schürfen von Krypto-Währungen missbraucht.

Die Malware hat mit Hilfe der Installationscomputer kryptografische Münzen im Namen des Angreifers  gesammelt. Alle entdeckten bösartigen Pakete wurden von ein und demselben Benutzer erstellt. Interessanterweise unterscheiden sich die Pakete in dem Code, den sie enthalten, und in der Art und Weise, wie sie ihre bösartigen Aktionen durchführen – eines lud beispielsweise eine bösartige ausführbare Datei aus dem Internet herunter, während das andere sie bereits enthielt.

Der Angreifer hat die bösartigen Dateien auf GitLab gehostet (ein beliebter Code-Hosting-Dienst, wahrscheinlich in der Annahme, dass Anfragen an diese Domain nicht von professionellen Firewalls blockiert werden). In einigen Fällen interagierten die bösartigen Pakete direkt mit den Krypto-Pools, und in einigen Fällen scheinen sie zu diesem Zweck ausführbare Dateien zu nutzen (wodurch die Adressen der Krypto-Mining-Pools nicht explizit im Code der Pakete sichtbar sind).

Die Forscher von Check Point teilten diese Entdeckungen mit NPM, welches die schädlichen Pakete sofort entfernte. Dennoch können bereits tausende von Nutzern diese Pakete heruntergeladen haben.

NPM ist das führende Register für JavaScript-Open-Source-Pakete und beinhaltet ungefähr 2,2 Millionen Pakete. Das Verzeichnis ist Eigentum von GitHub. NPM (Node Package Manager) ist ein Paketmanager für die Programmiersprache JavaScript und der Standard-Paketmanager für die JavaScript-Laufzeitumgebung Node.js. Er wird verwendet, um Pakete für Node.js-Projekte zu verteilen und zu installieren. NPM ist quelloffen und kostenlos und ist die größte Software-Registrierungsstelle der Welt.

Cryptojacking ist eine gängige Methode für Hacker, um aus ihrem Zugriff auf die Systeme eines Unternehmens Profit zu schlagen. Cryptojacking-Malware nutzt die Rechenleistung eines Unternehmens, um auf einer Blockchain-Plattform Krypto-Währungen für den Angreifer zu schürfen. Sobald der Angreifer die Kontrolle über die Ressourcen des Opfers erlangt hat, kann er diese zum Schürfen von für sich selbst nutzen, oft mit einem erheblichen Gewinn – oder er kann die Stromrechnung des Unternehmens nach oben treiben, was gerne als Druckmittel genutzt wird. Solche Angriffe wurden in den letzten Jahren sowohl bei NPM als auch bei PyPI, dem offiziellen Software-Repository für Python, festgestellt, wobei viele Pakete und Nutzer dieser Plattformen betroffen waren.

Security researchers at Check Point Software Technologies Ltd. detected 16 malicious software packages on NPM, the leading directory for JavaScript packages. These enabled cryptojacking, a malicious form of cryptomining. This involves misusing someone else’s computing resources to mine cryptocurrencies.

The malware used installation computers to collect cryptocurrency coins on behalf of the attacker. All the detected malicious packages were created by the same user. Interestingly, the packages differ in the code they contain and the way they perform their malicious actions – for example, one downloaded a malicious executable from the Internet, while the other already contained it.

The attacker hosted the malicious files on GitLab (a popular code hosting service, probably assuming that requests to this domain are not blocked by professional firewalls). In some cases, the malicious packages interacted directly with the crypto pools, and in some cases they appear to use executables for this purpose (making the addresses of the crypto-mining pools not explicitly visible in the packages‘ code).

Check Point researchers shared these discoveries with NPM, which immediately removed the malicious packages. Nevertheless, thousands of users may have already downloaded these packages.

NPM is the leading registry for JavaScript open source packages and contains about 2.2 million packages. The registry is owned by GitHub. NPM (Node Package Manager) is a package manager for the JavaScript programming language and the default package manager for the Node.js JavaScript runtime. It is used to distribute and install packages for Node.js projects. NPM is open source and free, and is the largest software registry in the world.

Cryptojacking is a common method for hackers to profit from their access to an organization’s systems. Cryptojacking malware uses a company’s computing power to mine cryptocurrencies on a blockchain platform for the attacker. Once the attacker gains control of the victim’s resources, they can use them to mine for themselves, often at a significant profit – or they can drive up the company’s power bill, which is popularly used as leverage. Such attacks have been seen in recent years on both NPM and PyPI, the official software repository for Python, with many packages and users of these platforms affected.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner